top of page
Buscar

Implementación de VRF en Infraestructuras de Red

  • jogofus
  • 21 feb
  • 3 Min. de lectura

Imagina una empresa con múltiples oficinas repartidas en distintas ubicaciones geográficas. Cada una de estas oficinas cuenta con su propia red interna y necesita conectarse a una infraestructura central para acceder a recursos compartidos. Sin embargo, también es fundamental que estas redes permanezcan aisladas entre sí para evitar accesos no autorizados.


Aquí es donde entra en juego el concepto de Virtual Routing and Forwarding (VRF). El VRF es una técnica que permite crear múltiples contextos independientes de enrutamiento dentro de un único dispositivo de red, como un router. Cada uno de estos contextos, o instancias, mantiene su propia tabla de enrutamiento, lo que garantiza que el tráfico de cada red viaje de forma aislada y con sus propias políticas de acceso.


ree

Por ejemplo, podríamos establecer una instancia VRF específica para cada oficina. De esta manera, cada una tendría rutas y normas de acceso personalizadas, asegurando que solo pueda interactuar con los recursos que le corresponden. Por ejemplo, podrías configurar un VRF para la oficina A que permita llegar a los servidores centrales, pero restringir su acceso a la red de la oficina B. De manera similar, la oficina B solo tendría visibilidad sobre sus propios servicios locales.


Una ventaja significativa de esta tecnología es la posibilidad de utilizar esquemas de direccionamiento IP idénticos en distintas ubicaciones sin generar conflictos. Por ejemplo, la red 10.1.1.0/24 podría usarse simultáneamente en dos oficinas distintas, siempre y cuando cada una esté asociada a una instancia VRF diferente.


En definitiva, el VRF ofrece una forma eficaz de segmentar el tráfico dentro de una misma infraestructura de red, proporcionando aislamiento, flexibilidad y seguridad sin necesidad de recurrir a múltiples dispositivos físicos. Esta capacidad es especialmente útil en entornos empresariales con redes distribuidas que requieren una administración eficiente y controlada del tráfico intersitio.


Funcionamiento de VRF

Debemos tener en cuenta que las VRF trabajan en la capa 3 del modelo OSI y que cuentan con los siguientes conceptos:


1.RIB (Routing Information Base): Cada VRF tiene su propia RIB independiente, lo que permite coexistencia de redes con solapamiento de direcciones IP sin conflictos.

2.FIB (Forwarding Information Base): Cada VRF tiene una FIB separada, lo que impacta directamente en el proceso de reenvío.

3.VRF-Lite: Implementación sin MPLS, usada en redes más simples o en entornos locales.

Laboratorio

Como siempre, me gusta demostrar lo que se habla en este blog con ejemplos prácticos, así que allá vamos.


El esquema de red que vamos a seguir es el siguiente:


VLAN10: 192.168.10.1/24

VLAN20: 192.168.20.1/24

R2: e0/1 - 192.168.10.2/24; e0/0 - 10.10.10.1/24

R3: e0/1 - 192.168.10.4/24; e0/0 - 10.10.30.1/24

R4: e0/1 - 192.168.10.3/24; e0/0 - 10.10.20.1/24

ree

Configuraciones:


R1:

hostname R1
!
vrf definition VALENCIA
rd 100:10
address-family ipv4
!
vrf definition BARCELONA
address-family ipv4
!
interface e0/0.10
vrf forwarding VALENCIA
encapsulation dot1q 10
ip address 192.168.10.1 255.255.255.0
no shut
!
interface e0/0.20
vrf forwarding BARCELONA
encapsulation dot1q 20
ip address 192.168.20.1 255.255.255.0
no shut
!
int e0/0
no shut
!

R3:

hostname R3
!
int e0/1
no shut
ip address 192.168.10.2 255.255.255.0
ip nat outside
!
int e0/0.50
encapsulation dot1Q 50
ip address 10.10.10.1 255.255.255.0
ip nat inside
no shut
!
int e0/0
no shut
!
access-list 1 permit 10.10.10.0 0.0.0.255
ip nat inside source list 1 interface ethernet 0/1 overload
ip route 0.0.0.0 0.0.0.0 ethernet 0/1
!

R4:

hostname R4
!
int e0/1
no shut
ip address 192.168.10.4 255.255.255.0
ip nat outside
!
int e0/0.50
encapsulation dot1Q 50
ip address 10.10.30.1 255.255.255.0
ip nat inside
no shut
!
int e0/0
no shut
!
access-list 1 permit 10.10.30.0 0.0.0.255
ip nat inside source list 1 interface ethernet 0/1 overload
ip route 0.0.0.0 0.0.0.0 ethernet 0/1
!

R5:

hostname R5
!
int e0/1
no shut
ip address 192.168.10.3 255.255.255.0
ip nat outside
!
int e0/0.50
encapsulation dot1Q 50
ip address 10.10.20.1 255.255.255.0
ip nat inside
no shut
!
int e0/0
no shut
!
access-list 1 permit 10.10.20.0 0.0.0.255
ip nat inside source list 1 interface ethernet 0/1 overload
ip route 0.0.0.0 0.0.0.0 ethernet 0/1
!

Nota: Se ha tenido que establecer el NAT para poder salir hacia el router R1, que sería la simulación de nuestro ISP o Internet.


Como podemos ver, podemos hacer ping desde R3 al router R5 pero no al R4, a pesar de que están en la misma subred. Esto es debido a que están en VRF y tablas de enrutamiento distintas.


Podemos verlo aquí:

ree
ree

Como vemos, si tratamos de hacer un ping a R4 no llegaremos, ya que no aparece en su tabla de rutas. Pero si le indicamos a través de que VRF debe llegar, podremos hacer ping sin ningún problema. Lo mismo con los router R3 y R5.

ree


¡Hasta aquí todo!


 
 
 

Comentarios

bottom of page